経済産業省が2026年度(令和8年度)末頃の運用開始に向けて整備を進めている「サプライチェーン強化に向けたセキュリティ対策評価制度(以下、SCS評価制度)」。現在、弊社には多くのお客様から、本制度への対応に関するご相談が寄せられています。自社の対策レベルを客観的に証明し、取引先からの信頼を担保するために、多くの企業が準備を本格化させていることを日々実感しています。
そこで今回から、制度対応を検討されている企業の皆様に向けて、Oktaのソリューションがどのように貢献できるのか、多角的な視点で情報発信を進めていきます。
初回となる本記事では、制度創設の背景と概要、対応に向けた「全体設計」の考え方、そして多くの企業が陥りがちな落とし穴についてお話しします。次回以降は、弊社のソリューションエンジニアより、製品機能と制度要件の具体的な適合など、より実践的な解説をお届けする予定です。
1. SCS評価制度が国家レベルの取り組みとなっている背景
制度の具体的な要件に触れる前に、そもそもなぜ経済産業省がこの新たな評価制度の創設に至ったのか、その背景を整理しておきます。
第一の理由は、日本の産業構造と企業経営そのものを脅かす「サプライチェーン攻撃」の激化です。
昨今、強固な防御網を持つ大企業を直接狙うのではなく、相対的にセキュリティ対策が手薄になりがちな取引先や子会社、海外拠点を踏み台にして侵入する手口が常態化しています。IPA(情報処理推進機構)の「情報セキュリティ10大脅威」においても、「サプライチェーンの弱点を悪用した攻撃」は長年にわたり上位にランクインし続けています。
インシデントがもたらす事業影響は、もはや「IT部門のトラブル」という枠に収まりません。直近数年間で発生した国内の製造業やサービス業の事例では、以下のような経営の屋台骨を揺るがしかねない甚大な被害が発生しています。
サプライチェーン全体の稼働停止: 大手自動車メーカーのサプライチェーンを担う部品メーカーがランサムウェア被害に遭い、自動車の国内全工場が連鎖的に稼働停止に追い込まれました。
基幹業務の長期停止と経営への深刻なダメージ: 国内大手飲料メーカーや大手通販企業等において、ランサムウェア攻撃に起因するシステム停止が、製造ラインの停止、出荷遅延、サービスの長期停止に波及し、売上機会の損失や特別損失の計上など、経営に直接的な打撃を与えた事例が相次いでいます。
特別損失の計上とユーザー基盤の離脱: 国内大手エンターテインメント企業の事例では、ランサムウェア被害と情報漏洩により十数億円規模の特別損失を計上。サービスの長期停止はブランド価値を大きく毀損する事態となりました。
警察庁のレポートでもランサムウェア被害企業の過半数を中小企業が占めていることが報告されており、規模の大小を問わず、ひとつの綻びが連鎖的な事業停止と莫大な経済的損失を招く事態になっています。
第二の理由は、共通基準の不在と、それに伴う「セキュリティチェックシート疲弊」の常態化です。
これまで多くのお客様が「サイバー攻撃のリスクは理解しているが、セキュリティ投資のゴールが見えない」という悩みを持ってきました。経済産業省の検討会資料でも指摘されている通り、現状は取引先企業ごとに独自の基準で作成された数十〜数百項目の「セキュリティチェックシート」が乱立しています。その結果、発注側は「自社のチェック項目が本当に適正か」を担保できず、受注側は「各社ごとに異なるフォーマットへの回答と要件対応」に忙殺されるという非生産的な状態に陥っています。
今回の「SCS評価制度」は、まさにこの「不明瞭さ」と「無駄な工数」を解消する狙いがあります。企業間の取引において「このレベル(★)を取得していれば、一定のセキュリティ基準を満たしている」とお互いが安心できる。つまり、客観的で明確な「共通言語(ものさし)」を確立することが、国を挙げて本制度を推進する主要な目的となっています。
2. SCS評価制度とは:★3・★4・★5の評価レベルと要件概要
SCS評価制度は、サプライチェーンを構成する企業のセキュリティ対策状況を、この「共通のものさし」で評価・可視化する仕組みです。既存のIPA「SECURITY ACTION」制度が★1・★2を担い、本制度ではそれに続く形で以下の段階が設けられます。
【★3】最低限実装すべきセキュリティ対策(専門家確認付き自己評価) 全てのサプライチェーン企業が共通して備えるべきベースラインです。基礎的なシステム防御策を中心とし、自己評価を行った上で、専門家(有資格者)による確認を経るプロセスが想定されています。
【★4】標準的に目指すべきセキュリティ対策(第三者評価) サプライチェーンに大きな影響をもたらす攻撃に備え、組織ガバナンス、検知、対応、復旧などを含むより包括的な対策が求められます。認定機関等による「第三者評価」となるため、運用実態や証跡の整備においてハードルが一段上がります。一方で、第三者による客観的な評価を得ることで、取引先や顧客に対して自社のセキュリティ対策レベルをより明確に示すことができます。
【★5】到達点として目指すべき高度な対策(今後検討) 未知の高度なサイバー攻撃にも対応する水準であり、詳細については引き続き検討が進められ、2026年度内の要件の公表が見込まれています。
3. なぜ、様々なセキュリティ対策の中で「アイデンティティ管理」から着手すべきなのか?
制度の要件にはネットワークや端末保護など多岐にわたる項目が含まれますが、Oktaはまず「アイデンティティ管理」(ID管理)を最優先の土台として取り組むべきだと考えています。
理由は明確です。実際のサイバー攻撃において、Verizon社の調査レポートなどでも継続的に指摘されている通り、盗まれた認証情報の悪用やフィッシングなど、アイデンティティ(ID)に起因する攻撃は依然として多くの侵害に関与しているためです。
「誰が、何に、どのような条件でアクセスできるのか」という認証・認可の基盤が脆弱な状態のまま、セキュリティのポイントソリューションを個別に導入しても、それらを効果的に管理することはできません。攻撃者の最も身近な標的である「アイデンティティと認証」を強固に守り、そこにガバナンスを効かせることが、最も効果的な防御の土台となります。この盤石な基礎があってこそ、★3から★4、そして将来的な★5へと段階的にスケールでき、外部のステークホルダーが納得する「整合性のあるセキュリティロードマップ」を描くことが可能になるのです。
4. チェックリスト対応だけでは不十分:SCS評価制度で求められる継続運用と証跡管理
公表されている要件リストに対して、「対応している・していない」の◯×をつける(チェックリストを埋める)だけであれば、適切なセキュリティ製品を個別検討でいくつか導入したり、自社の人的な運用体制を拡充することで一時的には達成できるかもしれません。しかし、この制度において望ましい評価を取得する上での本質的な問題は「評価基準を満たした仕組みを、社内で継続的に、かつ安全に運用し続け、評価要件を将来にわたって維持し続けられるか」という点にあります。
特に★4で想定されるような外部評価では、単に機能が存在することではなく、それが組織内で適切に継続運用され、設定変更の承認プロセスやログが「証跡」として説明できる状態にあるかが厳しく問われます。
これまで多くのお客様が、対策を進める上で深刻な課題を抱えてきました。一つは「コストの壁」、もう一つは高度なセキュリティ人材の確保が難しい「人材の壁」です。要件を満たすためだけにワンショットの投資で個別最適のソリューションを継ぎ接ぎすれば、複数の管理画面の操作や、手動でのアクセス権付与・剥奪作業を強いられ、現場の運用負担は爆発的に増加します。結果としてヒューマンエラーが多発し、セキュリティ対策そのものが形骸化してしまうリスクを拭えません。
5. 解決の鍵は「セキュリティの自動化」による持続可能なセキュリティ運用
本制度への対応における最重要ポイントは、単に要件を満たすことではなく、「コストと人材不足」という潜在的な課題を同時に解決するアーキテクチャを導入段階において適切に設計すること、そしてそれに対応できる要件を具備したソリューションを選定し、段階的に導入することです。
具体的には、可能な限り「自動化(オートメーション)」と「省人化」を進めることが非常に重要です。多くの企業において、IT人材やセキュリティ人材の不足が深刻化する昨今、人を増やして対応を続けるオペレーションは、持続可能ではありません。継続的な運用負担を削ぎ落とし、システム自身にセキュリティの運用を任せる仕組みをどれだけ組めるかが勝負の分かれ目となります。
Oktaは、「Okta Integration Network(OIN)」を通じて、8,000以上の多種多様なアプリケーションやサービスとの事前連携を提供しています。これにより、多要素認証(MFA)やシングルサインオン(SSO)による認証基盤の強化、人事システムと連携したアカウントライフサイクル管理、リスクに応じた条件付きアクセスといった機能を短期間で実装することができます。加えて、Oktaをアイデンティティの中枢(コントロールプレーン)として配置することで、以下のような自動化が可能になります。
人事システムと連動した、従業員の入社から異動、退職までのアカウント権限の自動付与・自動剥奪
端末のセキュリティ状態(EDR等)やネットワーク状況(SASE等)のコンテキストをリアルタイムに評価するリスクベース認証
脅威を検知した際の、他製品と連動した自動的なアクセス遮断とセッション強制切断
もちろんOkta単体で制度の全要件をカバーできるわけではありませんが、この統合的なオーケストレーションの力により、現場の運用負担を劇的に下げながら、高度な評価レベルで求められる「継続的なアクセスガバナンスや証跡管理」に対応しやすい強靭な基盤を整えることができるのです。
6. 最後に:評価取得はゴールではなくスタート
SCS評価制度において「評価(★)を取得すること」は非常に重要ですが、真のボトルネックは「要件を満たす難易度」ではありません。「評価の取得後に、企業内でオペレーションが無理なく、負担なく回り続けるか」に視点を合わせることこそが、最も重要な設計事項です。
要件表の◯×を埋めるためだけの対策では、組織を疲弊させます。持続可能で、かつビジネスの成長スピードを止めないゼロトラストアーキテクチャの構築と「運用の自動化」は、Oktaが最も得意とする領域です。自社のアイデンティティ管理・アクセス管理の現状がSCS評価制度対応においてどのような課題となり得るのか、またどこから着手すべきかを整理されたい方は、ぜひOktaまでご相談ください。
次回以降、弊社のソリューションエンジニアより、★3・★4要件に対するOktaの具体的な技術アプローチについて深く掘り下げて解説していきますので、ぜひご期待ください。
免責事項:
本記事の内容は現時点で公開されている情報に基づくものであり、今後の制度設計や公表内容により変更される可能性があります。
